孫衛(wèi)慶，樓 平，張 鷹

（國網(wǎng)浙江省電力公司 湖州供電公司，浙江 湖州313000）

企業(yè)內(nèi)部信息網(wǎng)為提高鏈路的安全性，一般采用雙鏈路配置，并在全網(wǎng)啟用生成樹協(xié)議的方式防止廣播風暴的產(chǎn)生.但是，由于生成樹協(xié)議配置太簡單，在信息網(wǎng)鏈路發(fā)生故障、人員誤操作的情況下，廣播風暴時有發(fā)生，從而導致局部網(wǎng)絡(luò)癱瘓甚至全網(wǎng)中斷.本文對幾種網(wǎng)絡(luò)設(shè)備加固的方法進行論述.

1 廣播風暴產(chǎn)生的原因

網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)傳輸方式可分為單播、組播和廣播三種.單播（Unicast）就是“一對一”傳輸方式，單播數(shù)據(jù)包在通過網(wǎng)絡(luò)設(shè)備時只進行轉(zhuǎn)發(fā)而不會復(fù)制.組播（Multicast）就是“一對組”傳輸方式，加入同一個組的主機才可以接受到組播數(shù)據(jù)包，組播數(shù)據(jù)包在通過網(wǎng)絡(luò)設(shè)備時會將組播數(shù)據(jù)包進行復(fù)制后向所有已經(jīng)加入組的端口進行轉(zhuǎn)發(fā).廣播（Broadcast）就是“一對所有”傳輸方式，廣播數(shù)據(jù)包在通過網(wǎng)絡(luò)設(shè)備時會將廣播數(shù)據(jù)包進行復(fù)制后向除了廣播數(shù)據(jù)包來源端口以外的所有其他端口發(fā)送［1］.正是廣播數(shù)據(jù)包的這種自我復(fù)制的傳輸特性，會在網(wǎng)絡(luò)中誘發(fā)廣播風暴.廣播風暴指過多的無用廣播包在網(wǎng)絡(luò)中傳送，從而消耗大量的網(wǎng)絡(luò)帶寬，導致正常的數(shù)據(jù)包無法正常地在網(wǎng)絡(luò)中傳送的一種現(xiàn)象.廣播風暴產(chǎn)生的原因可以分為兩類：網(wǎng)絡(luò)環(huán)路和主機軟硬件故障.

1.1 網(wǎng)絡(luò)環(huán)路

交換網(wǎng)絡(luò)中經(jīng)常通過設(shè)置冗余鏈路來提高網(wǎng)絡(luò)的可靠性，而冗余鏈路就會產(chǎn)生網(wǎng)絡(luò)環(huán)路，故具備冗余鏈路的交換網(wǎng)絡(luò)均通過運行生成樹協(xié)議阻斷冗余端口的方式來防止網(wǎng)絡(luò)環(huán)路.而在網(wǎng)絡(luò)運行過程中，由于單向鏈路、端口故障而導致生成樹協(xié)議工作異常就會產(chǎn)生網(wǎng)絡(luò)環(huán)路.由于網(wǎng)絡(luò)環(huán)路的存在，廣播包會從網(wǎng)絡(luò)環(huán)路回到廣播包的起點再次發(fā)送，就像滾雪球一樣，廣播包在網(wǎng)絡(luò)環(huán)路中無法消除，并且越來越多，最后導致網(wǎng)絡(luò)中充斥大量無用的廣播包，從而把網(wǎng)絡(luò)的所有帶寬都消耗殆盡，致使正常的數(shù)據(jù)包無法通過網(wǎng)絡(luò)傳輸，造成數(shù)據(jù)傳輸延時、丟包甚至中斷.

1.2 主機軟硬件故障

硬件方面主要體現(xiàn)在故障網(wǎng)卡.軟件方面包括病毒及黑客軟件、網(wǎng)絡(luò)嗅探軟件、有BUG 的應(yīng)用軟件等.這些硬件故障或軟件的使用均會導致主機不停地向網(wǎng)絡(luò)發(fā)送大量的無用廣播包，這些無用的廣播包經(jīng)過多次復(fù)制和傳播會達到相當龐大的數(shù)據(jù)流，從而阻塞網(wǎng)絡(luò)形成廣播風暴.

廣播風暴可以通過對網(wǎng)絡(luò)設(shè)備進行安全加固的方式來控制，針對網(wǎng)絡(luò)環(huán)路產(chǎn)生的廣播風暴.一般有單向鏈路檢測、生成樹協(xié)議的環(huán)路保護功能等措施.針對主機軟硬件故障產(chǎn)生的廣播風暴一般有端口廣播包的控制、配置邊緣端口、減少集線器（HUB）的使用等措施.優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)是從拓撲結(jié)構(gòu)上有效遏制廣播風暴影響范圍，防止廣播風暴擴大的重要措施.

2 廣播風暴的防范措施

2.1 單向鏈路檢測

單向鏈路檢測是有效防止網(wǎng)絡(luò)環(huán)路的措施之一，思科設(shè)備采用UDLD（Unidirectional Link Detection）協(xié)議來監(jiān)聽使用光纖或雙絞線連接的以太鏈路，當出現(xiàn)單向鏈路時，UDLD 協(xié)議會關(guān)閉相應(yīng)的接口并發(fā)送告警信息.華為設(shè)備采用DLDP（Device Link Detection Protocol）協(xié)議檢測單向鏈路.單向鏈路可能引起很多問題，尤其是影響生成樹協(xié)議的正常運行，造成環(huán)路而發(fā)生廣播風暴.單向鏈路的故障在使用光纖構(gòu)成的企業(yè)內(nèi)部信息網(wǎng)比較普遍.光纜斷纖、尾纖斷纖、光接口或光纖法蘭頭污垢均會造成單向鏈路.在配置UDLD 時，鏈路上的雙方設(shè)備都必須支持UDLD 協(xié)議，并且在各自的端口上都啟用UDLD 協(xié)議.如果只在一個端口上啟用了UDLD，將會使其進入errdisable狀態(tài).UDLD 支持兩種工作模式，普通模式和激進模式.在普通模式下，檢測到單向鏈路并嘗試重建連接失敗后，此端口會進入不確定（undetermined）狀態(tài)，但是不影響數(shù)據(jù)轉(zhuǎn)發(fā).在激進模式下，檢測到單向鏈路并嘗試重建連接失敗后，此端口會進入禁止（errdisable）狀態(tài)，并且停止數(shù)據(jù)轉(zhuǎn)發(fā).

處理方法：

進入端口配置模式：switch（config）＃interface fastethernet0／1.

開啟激進模式UDLD：switch（config－if）＃udld port aggressive.

鏈路兩端的設(shè)備同樣配置.

2.2 生成樹協(xié)議的環(huán)路保護功能

生成樹協(xié)議的環(huán)路保護功能是確保生成樹安全運行，防止網(wǎng)絡(luò)由于生成樹協(xié)議異常而出現(xiàn)網(wǎng)絡(luò)環(huán)路的重要措施.當生成樹協(xié)議運行時，只有兩臺交換機之間存在多條冗余鏈路時，才會阻塞多余鏈路而只留一條活動鏈路.生成樹協(xié)議判斷兩臺交換機之間是否有多條鏈路，是靠發(fā)送BPDU（Bridge Protocol Data Unit），如果從一臺交換機的多個端口均能收到另一臺交換機的BPDU，則認為這兩臺交換機之間有多條鏈路，所以會阻塞多余鏈路而只留一條.如果只從一臺交換機的一個端口收到另一臺交換機的BPDU，或者是沒有收到重復(fù)BPDU，則認為網(wǎng)絡(luò)是無環(huán)的，也就沒有端口被阻塞，不需要被阻塞的端口，都會被變?yōu)橹付ǘ丝冢?］.但是當網(wǎng)絡(luò)中出現(xiàn)單向鏈路故障時，也就是某個端口只能收數(shù)據(jù)而不能發(fā)數(shù)據(jù)，或者只能發(fā)數(shù)據(jù)而不能收數(shù)據(jù)，最終造成網(wǎng)絡(luò)中所有的交換機端口都為轉(zhuǎn)發(fā)狀態(tài)，流量在所有端口上被轉(zhuǎn)發(fā)，引起廣播風暴，出現(xiàn)環(huán)路而引起網(wǎng)絡(luò)癱瘓.單向鏈路故障不僅會使阻塞狀態(tài)的端口錯誤地變成指定端口，還會造成根端口錯誤地變成指定端口.

對于上述問題，可以通過Loop Guard來解決，開啟了Loop Guard的端口在收不到BPDU 的情況下，并不會認為網(wǎng)絡(luò)是無環(huán)的而將此端口變成指定端口，而是將收不到BPDU 的端口變成loop－inconsistent狀態(tài)，此狀態(tài)等同于阻塞狀態(tài).Loop Guard可以全局開啟，也可以在接口下開啟，但不建議在全局開啟，應(yīng)在交換機的根端口和阻塞端口開啟.

處理方法：

進入端口配置模式：switch（config）＃interface fastethernet0／1.

在根端口和阻塞端口開啟：switch（config－if）＃spanning－tree guard loop.

2.3 端口廣播包的控制

當主機網(wǎng)卡故障，主機感染病毒及木馬、使用黑客軟件和網(wǎng)絡(luò)嗅探軟件對網(wǎng)絡(luò)進行探測等情況，主機可能會向網(wǎng)絡(luò)不停地發(fā)送大量的廣播包或組播包.如果在交換機的端口上不對其進行限制，將接受到的所有廣播包和組播包進行復(fù)制轉(zhuǎn)發(fā)的話，在經(jīng)過一段時間后，網(wǎng)絡(luò)上將充斥著這些無用的數(shù)據(jù)包，消耗了大量的網(wǎng)絡(luò)帶寬，導致正常的數(shù)據(jù)包無法正常在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)，從而發(fā)生廣播風暴.通過對端口的廣播包和組播包的控制，可以有效地避免因廣播風暴爆發(fā)導致的網(wǎng)絡(luò)癱瘓.而交換機在默認配置下是不會對廣播包和組播包進行控制的.通過配置端口廣播、組播使用帶寬的上限來控制廣播風暴的爆發(fā).

處理方法：

進入端口配置模式：Switch（config）＃interface fastethernet0／1.

抑制廣播包占有帶寬上限為20%：switch（config－if）＃storm－control broadcast level 20.00.

抑制組播包占有帶寬上限為40%：switch（config－if）＃storm－control multicast level 40.00.

2.4 配置邊緣端口

接入交換機在多年運行后，由于設(shè)備更換、布線調(diào)整、信息點位擴充等原因，需要經(jīng)常變更交換機端口接入的設(shè)備的類型.有時，由于人員誤操作將一臺交換機的不同端口用一根網(wǎng)線聯(lián)接起來，或為了擴充信息點，使用一臺低端的HUB連接到交換機端口下，而低端的HUB很容易故障而導致網(wǎng)絡(luò)環(huán)路.為了避免此種情況，可以將接入交換機中連接主機的端口設(shè)置為邊緣端口.

一個默認情況下的交換機端口，在交換機啟動后，由于生成樹協(xié)議的原因，端口狀態(tài)需要從initialization－blocking－listening－learning－forwarding進行變換，耗時近30s.對于一個連接了主機端口，由于主機不會發(fā)送BPDU，故進行生成樹協(xié)議計算是毫無必要的.通過配置Port Fast功能，便可以使接口跳過生成樹協(xié)議的計算，從而直接過渡到forwarding狀態(tài)［3］.當開啟了Port Fast功能的端口，如果在端口上收到BPDU 后，交換機就會誤認為此端口連接的是交換機，而并非主機或服務(wù)器，因此在端口收到BPDU后會立即關(guān)閉該端口的PortFast功能.而實際上，此端口可能由于發(fā)生了環(huán)路而產(chǎn)生了BPDU，而環(huán)路是產(chǎn)生廣播風暴的主要原因.為了杜絕此類錯誤的發(fā)生，可在端口上開啟BPDU Guard功能，使端口在收到BPDU 時，立即被shutdown或進入err－disabled狀態(tài).如果在實際中，確實需要在此端口下連接交換機，應(yīng)在連接交換機的同時手動關(guān)閉端口的PortFast功能.

處理方法：

進入端口配置模式：switch（config）＃interface fastethernet0／1.

在連接主機的端口上配置邊緣端口：switch（config－if）＃spanning－tree portfast.

在連接主機的端口上開啟BPDU Guard功能：switch（config－if）＃spanning－tree bpduguard enable.

2.5 減少集線器（HUB）的使用

集線器（HUB）作為一種低端網(wǎng)絡(luò)設(shè)備，價格便宜且安裝方便，在擴充信息點和提供快速的網(wǎng)絡(luò)接入方面具有一定的優(yōu)勢.但是，由于集線器是一種物理層的網(wǎng)絡(luò)設(shè)備，各端口采用共享的方式訪問網(wǎng)絡(luò).低廉的價格無法保障可靠運行，一旦元器件出現(xiàn)故障，很容易造成不同端口的短接而構(gòu)成環(huán)路，從而引發(fā)廣播風暴的產(chǎn)生.在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)盡量限制集線器的使用，可采用低端交換機來替代集線器的使用.

2.6 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

為了使用方便和節(jié)約IP地址資源，企業(yè)內(nèi)部網(wǎng)絡(luò)大量使用交換網(wǎng)絡(luò)構(gòu)建網(wǎng)絡(luò)系統(tǒng)，并啟用生成樹協(xié)議來提高鏈路的安全性.交換網(wǎng)絡(luò)和生成樹協(xié)議的使用給廣播風暴的爆發(fā)提供了滋生的土壤，并且增加了廣播風暴故障的處理難度.在兼顧使用方便和節(jié)約IP地址資源的基礎(chǔ)上，盡量限制交換網(wǎng)絡(luò)的范圍.一般以一個園區(qū)或一幢大樓構(gòu)建一個交換網(wǎng)絡(luò)，交換網(wǎng)絡(luò)采用路由器或路由交換機與上層相連，從而將廣播包的傳播限制在一個集中的地點，以減少廣播風暴的影響范圍，降低廣播風暴故障處理的難度.

3 廣播風暴故障的檢測

如果網(wǎng)絡(luò)中已經(jīng)出現(xiàn)響應(yīng)遲緩、時斷時通的現(xiàn)象，一般可認為出現(xiàn)了廣播風暴，可以利用如下方法來排障.

檢查交換機的CPU 利用率是否變得很高，且大部分的資源都被“Broadcast Storm”、“IP Input”進程占用，則基本可以確定網(wǎng)絡(luò)中有大流量的廣播風暴.

檢查方法：

進入全局模式：switch＃show processes cpu｜exclude 0.00.

查找異常流量是來自哪個端口，如果找到一個端口的input rate非常高，且接收到的廣播包也非常多，則基本可以找到故障源.如果該端口下聯(lián)的也是可管理的交換機，則再次執(zhí)行此過程，直到找到一個鏈接主機或HUB的端口，并關(guān)閉這個端口.

HT 檢查方法：

進入全局模式：switch＃show interfaces｜include protocol｜rate｜broadcasts.

4 結(jié) 語

筆者所在的企業(yè)內(nèi)部網(wǎng)絡(luò)有各類網(wǎng)絡(luò)設(shè)備300余臺，前幾年經(jīng)常發(fā)生廣播風暴，多次發(fā)生超過30%以上網(wǎng)絡(luò)設(shè)備受到廣播風暴影響而無法正常運行的事件，在通過分層分區(qū)的網(wǎng)絡(luò)架構(gòu)改造，二層網(wǎng)絡(luò)內(nèi)的交換機的安全加固工作的實施，從而從源頭上遏制了廣播風暴的產(chǎn)生，防止因一個小故障而引發(fā)的全網(wǎng)癱瘓事故，確保了網(wǎng)絡(luò)系統(tǒng)的安全運行，使網(wǎng)絡(luò)運行率水平保持在較高的水平.

［1］劉曉輝.網(wǎng)絡(luò)設(shè)備規(guī)劃、配置與管理大全（Cisco版）［M］.北京：電子工業(yè)出版社，2012.

［2］Saadat Malik.網(wǎng)絡(luò)安全原理與實踐［M］.王寶生，朱培棟，白建軍，譯.北京：人民郵電出版社，2008.

［3］David Hucaby.CCNP SWITCH（642－813）.認證考試指南［M］.王兆文，譯.北京：人民郵電出版社，2010.